Beta

Source: OJ L, 2024/1774, 25.6.2024

Current language: SV

Artikel 6 Kryptering och kryptografisk säkerhet

    1. Som en del av de IKT-relaterade säkerhetsstrategier, förfaranden, protokoll och verktyg som avses i artikel 9.2 i förordning (EU) 2022/2554 ska finansiella entiteter utarbeta, dokumentera och genomföra en policy för kryptering och kryptografisk säkerhet.

    1. Finansiella entiteter ska utforma den policy för kryptering och kryptografisk säkerhet som avses i punkt 1 på grundval av resultaten av en godkänd dataklassificering och IKT-riskbedömning. Denna policy ska innehålla regler för

      1. kryptering av uppgifter i vila och under överföring,

      2. kryptering av uppgifter i bruk, vid behov,

      3. kryptering av interna nätverksanslutningar och trafik med externa parter,

      4. den hantering av kryptografiska nycklar som avses i artikel 7, med fastställande av regler för korrekt användning, skydd och livscykel i fråga om kryptografiska nycklar.

    2. Vid tillämpning av led b ska finansiella entiteter, om kryptering av uppgifter i bruk inte är möjlig, behandla uppgifter i bruk i en avskild och skyddad miljö, eller vidta likvärdiga åtgärder för att säkerställa uppgifternas konfidentialitet, integritet, äkthet och tillgänglighet.

    1. Finansiella entiteter ska i den policy för kryptering och kryptografisk säkerhet som avses i punkt 1 inkludera kriterier för val av krypteringsmetoder och användningspraxis, med beaktande av ledande praxis och standarder enligt definitionen i artikel 2.1 i förordning (EU) nr 1025/2012, och den klassificering av relevanta IKT-tillgångar som fastställts i enlighet med artikel 8.1 i förordning (EU) 2022/2554. Finansiella entiteter som inte kan följa ledande praxis eller standarder, eller använda de mest tillförlitliga metoderna, ska anta begränsnings- och övervakningsåtgärder som säkerställer motståndskraft mot cyberhotett cyberhot enligt definitionen i artikel 2.8 i förordning (EU) 2019/881..

    1. Finansiella entiteter ska i den policy för kryptering och kryptografisk säkerhet som avses i punkt 1 inkludera bestämmelser om uppdatering eller ändring, vid behov, av krypteringstekniken på grundval av utvecklingen inom kryptoanalys. Dessa uppdateringar eller ändringar ska säkerställa att krypteringstekniken förblir motståndskraftig mot cyberhotett cyberhot enligt definitionen i artikel 2.8 i förordning (EU) 2019/881., i enlighet med artikel 10.2 a. Finansiella entiteter som inte kan uppdatera eller ändra krypteringstekniken ska anta begränsnings- och övervakningsåtgärder som säkerställer motståndskraft mot cyberhotett cyberhot enligt definitionen i artikel 2.8 i förordning (EU) 2019/881..

    1. Finansiella entiteter ska i den policy för kryptering och kryptografisk säkerhet som avses i punkt 1 inkludera ett krav på att dokumentera antagandet av begränsnings- och övervakningsåtgärder som antagits i enlighet med punkterna 3 och 4 och att ge en motiverad förklaring till detta.

Table of contents

We're continuously improving our platform to serve you better.

Your feedback matters! Let us know how we can improve.

Contact us:

springlex@springflod.se

Found a bug?

Springflod is a Swedish boutique consultancy firm specialising in cyber security within the financial services sector.

We offer professional services concerning information security governance, risk and compliance.

Crafted with ❤️ by Springflod